Willkommen zur 12. Lektion. Heute werden wir über ein weiteres sehr wichtiges Thema sprechen, nämlich die
Arbeit mit Protokollen und Berichten . Manchmal ist diese Funktionalität bei der Auswahl eines Schutzmittels fast entscheidend. Sicherheitspersonal mag ein praktisches Berichtssystem und eine funktionale Suche nach verschiedenen Ereignissen. Es ist schwer, ihnen die Schuld zu geben. Tatsächlich sind Protokolle und Berichte ein wesentliches Element bei der Bewertung der Sicherheit. Wie können Sie das aktuelle Sicherheitsniveau verstehen, wenn Sie nicht sehen, was passiert? Glücklicherweise hat Check Point alles in dieser Reihenfolge und noch mehr. Check Point verfügt über eines der besten Berichtssysteme, das sofort funktioniert! Gleichzeitig besteht die Möglichkeit der Anpassung und Erstellung eigener Berichte! All dies wird durch einen bequemen und intuitiven Prozess der Arbeit mit Protokollen ergänzt. Aber reden wir über alles in Ordnung.
Brandneue Oberfläche
Wenn Sie zuvor mit Check Point gearbeitet haben, waren Sie wahrscheinlich von der völlig neuen Oberfläche für die Arbeit mit Protokollen und Berichten in R80 überrascht. Das Bild zeigt, wie viele verschiedene Dienstprogramme in einer neuen Registerkarte
Logs & Monitor zusammengefasst sind :
Protokoll & Monitor Abschnitt
Wenn Sie zu Logs & Monitor gehen und eine neue Registerkarte öffnen, sollte Folgendes angezeigt werden:
Standardmäßig gibt es zwei große Abschnitte:
- Ansicht "Überwachungsprotokolle" - Hier finden Sie alle Ereignisse im Zusammenhang mit dem Ein- und Ausstieg von Administratoren, Konfigurationsänderungen usw. Das heißt, klassische Prüfung von Administratoraktionen.
- Protokollansicht - Hier können Sie nach Ereignissen suchen, die alle unsere enthaltenen Blades "generieren", sei es Firewall, Antivirus, IPS usw. Wir haben diese Funktion mehr als einmal verwendet.
Darüber hinaus gibt es Links zu Berichten (
Reports ) und verschiedenen Dashboards (
Views ). Für den Betrieb wird das mitgelieferte
Smart Event Blade benötigt. Aber dazu später mehr. Lassen Sie uns zunächst herausfinden, wie Sie mit Protokollen arbeiten.
Protokollsuche
Meiner Meinung nach ist die Arbeit mit Protokollen im R80 ein Vergnügen. Wir haben eine sehr clevere Suchzeichenfolge, mit der wir durch beliebigen Text, Blade und andere indizierte Parameter wie Quelle, Ziel, Aktion usw. „schneiden“ können.
Gleichzeitig können wir mit den logischen Operatoren
AND ,
OR ,
NOT sehr komplexe Suchanfragen
erstellen . Und dafür ist es nicht einmal nötig, etwas zu drucken. Ein Filter kann mit nur wenigen Mausklicks erstellt werden. Später werden wir alles in der Praxis versuchen.
Protokollnachrichten nach Zugriffsliste anzeigen
Wir haben auch die Möglichkeit geschätzt, Protokolle für eine bestimmte Zugriffsliste anzuzeigen. Es ist wahnsinnig praktisch und man gewöhnt sich sehr schnell daran. Dies hilft insbesondere bei der Fehlerbehebung. Ich habe die für Sie interessante „Zugriffsliste“ hervorgehoben und von unten nachgesehen, ob der erforderliche Datenverkehr darunter fällt.
Sie müssen nirgendwo hingehen oder einen ausgeklügelten Filter für Protokolle erstellen.
Ansichten & Berichte
Für die Berichterstellung und Datenvisualisierung in Check Point ist das
Smart Event Blade verantwortlich, das auf dem Verwaltungsserver aktiviert ist. Diese Funktionalität kann sicher als SIEM bezeichnet werden, jedoch nur für Check Point-Produkte! Technisch gesehen können Sie bei Smart Event Protokolle von anderen Systemen (wie Cisco, Microsoft usw.) umbrechen, dies ist jedoch keine gute Idee :) In der Praxis ist dies sehr problematisch. Aber SmartEvent funktioniert gut mit den Checkpoint-Protokollen. Es kann korrelieren, zusammenfassen, mitteln und vieles mehr. Und alles funktioniert sofort! Natürlich gibt es vorgefertigte Dashboards zur Anzeige der wichtigsten Informationen. In Check Point werden sie als
Ansichten bezeichnet :
Sie sehen, dass es eine ziemlich große Anzahl von Standard-Dashboards gibt, die für die tägliche Verwaltung und Überwachung sehr nützlich sind.
Neben Dashboards, in denen die Informationen einfach visualisiert werden, können vollständige Berichte erstellt und im PDF- oder Excel-Format gespeichert werden. Sie können nach einem Zeitplan generieren und diese an eine Mailbox senden.
Und das Beste daran! Sie können selbst Dashboards und Berichte erstellen! Das heißt, Sie sind nicht auf integrierte Funktionen beschränkt. Nicht jeder Anbieter kann sich damit rühmen. Gleichzeitig können Vorlagen für diese Dashboards oder Berichte importiert oder exportiert werden, sodass Benutzer ihre Best Practices austauschen können. Das Erstellen eines Dashboards ist sehr einfach und intuitiv. Ich werde versuchen, Ihnen dies im Rahmen der Laborarbeit zu zeigen, die Sie im folgenden Video-Tutorial finden.
Videolektion
Bleib dran für mehr und trete unserem
YouTube-Kanal bei :)